Innovatie & Strategie

Security
Verhoeven

'Kaspersky-ban is onzorgvuldig, minister moet uitleg geven'

Minister Grapperhaus moet gaan praten met Kaspersky, roept Kamerlid Verhoeven op.

Tweede Kamerlid Kees Verhoeven (D66) © D66
18 juli 2019

Minister Grapperhaus moet gaan praten met Kaspersky, roept Kamerlid Verhoeven op.

Minister Ferd Grapperhaus van Justitie en Veiligheid heeft de overheidsban op antivirus van Kaspersky onzorgvuldig uitgevoerd, oordeelt Tweede Kamerlid Kees Verhoeven van D66. Hij zegt er niet op uit te zijn om de securityleverancier 'aan business' te helpen, maar maakt zich wel zorgen over de manier waarop deze ban tot stand is gekomen, en nu wordt aangehouden. De minister zou moeten ingaan op Kaspersky's inhoudelijke repliek op de ban.

"Grapperhaus houdt vast aan zijn eerdere besluit", reageert D66-Kamerlid Verhoeven tegenover AG Connect. De Justitie-minister houdt de door hem ingestelde ban voor overheidsgebruik van Kaspersky-antivirus in stand, zo heeft de bewindsman deze week laten weten aan de Tweede Kamer. Wat Verhoeven hier ook opvallend aan vindt, zo vertelt hij, is dat de overheid niet kan zeggen dat het die software überhaupt (nog) gebruikt. Dit 'kennisgebrek' is aan het licht gekomen door journalistiek werk van NPO Radio 1 Reporter.

Uitgefaseerd, of gebruikt?

Een Wob-verzoek (Wet openbaarheid bestuur) van dat radioprogramma heeft namelijk de reactie van het ministerie van Binnenlandse Zaken opgeleverd dat er "geen informatie beschikbaar is of de software volledig is uitgefaseerd". In antwoord op vervolgvragen stelt het ministerie dat dit echter wél bekend is. Alleen is het niet vrijgegeven in de beantwoording van de Wob-procedure. Verhoeven maakt zich zorgen hierover, ook omdat Kaspersky zelf verklaart geen contracten met de overheid te hebben.

"Opvallend is dat de Rijksoverheid sowieso geen direct gebruik van onze antivirussoftware maakt, daarom sloeg het waarschuwen hiervoor ook nergens op", liet Europees topmanager Martijn van Lom al weten aan AG Connect. Kamerlid Verhoeven erkent de mogelijkheid dat er ergens bij de overheid wellicht wel Kaspersky-antivirus wordt gebruikt, via dan niet-centrale inkoop bij bijvoorbeeld een tussenpartij. De in de ban gedane securityleverancier antwoordt op vragen van AG Connect hierover dat "hetgeen onze partners leveren voor ons niet inzichtelijk wordt".

Geen contract

In deze zaak gaat het nadrukkelijk over de levering van antivirus aan de Rijksoverheid, reageert de woordvoerster van Kasperky. Het zou daarbij om een grote afname gaan, en "hiervoor is geen contract via ons getekend". Verhoeven heeft eerder tegen NPO Radio 1 Reporter zijn zorgen geuit dat het onbekend is hoe het zit met gebruik van securitysoftware in de vitale infrastructuur. "Als je als overheid dat echt niet weet, ben je met een blinddoek op maatregelen aan het nemen om jezelf veilig te stellen." Kaspersky stelde toen al: "Als er niets is geleverd, kan er ook geen sprake zijn van uitfasering".

Nu aan AG Connect vertelt Verhoeven dat het vreemd is om een verbod in te stellen op iets wat je niet gebruikt. Bovendien kan dat een vlekwerking hebben, waardoor overheidsleveranciers of bedrijven in het algemeen ook wantrouwen krijgen tegen de 'verboden' leverancier en die dus gaan mijden. Formeel is er namelijk geen ban of verbod op Kaspersky buiten de overheid.

Begrip voor de risico's

Het Tweede Kamerlid zegt dat hij de redenering van minister Grapperhaus wel kan begrijpen. Alleen niet hoe de ban is uitgevoerd, specifiek: de onderbouwing ervan. "Natuurlijk zie ik de risico's", zegt hij. Verhoeven somt Grapperhaus' gronden op: een securityleverancier uit Rusland, antivirus wat diepgaande toegang tot systemen heeft, en de offensieve cyberstrategie van de Russische overheid. "Een antivirusleverancier uit Rusland is wat anders dan een kozijnenleverancier uit Zweden."

Alleen ontbreekt het in de zaak Kaspersky aan duidelijke - of openbare - onderbouwing. Verhoeven noemt dit onzorgvuldig. Hij trekt de vergelijking met de huidige gang van zaken rond 5G-telecomapparatuur, van de Chinese fabrikant Huawei. "Zie de omgang met 5G nu: daar is een AIVD-brief, een taskforce" en meer, geeft Verhoeven aan. Dit alles is onderbouwing om de risico's van Chinese invloed in kerninfrastructuren te duiden. Sommige gronden en analyses zijn wellicht niet openbaar, maar er is wel een meer gedegen aanpak. "Hier is er niets van dat", stelt Verhoeven over de overheidsban op Kaspersky-antivirus.

Inventariseren en weerleggen

"Ik zou het goed vinden als Grapperhaus twee dingen doet. Één: inventariseer wat de overheid heeft", qua gebruik van Kaspersky-producten, "Twee: weerleg de reactie van Kaspersky." Laatstgenoemde moet de indruk van onzorgvuldigheid wegnemen, door inhoudelijk in te gaan op de inhoudelijke repliek die de securityleverancier heeft gegeven toen de overheidsban vorig jaar plots is ingevoerd. Verhoeven stelt dat dit belangrijk is voor een goede relatie met leveranciers, wat dus niet alleen dit ene, in de ban gedane geval betreft.

Hij zegt er niet op uit te zijn om de securityleverancier 'aan business' te helpen, maar de onzorgvuldige aanpak van de ban waar Grapperhaus niet van afziet, geeft een negatieve uitstraling. "Er zijn twee niveaus voor dit soort besluiten", legt Verhoeven uit. Ten eerste zijn er de drie gronden die de minister al heeft aangedragen; de risico's die Verhoeven zelf ook ziet. Ten tweede is er het niveau van de technologie, stipt het kritische Kamerlid aan, en daar is er geen bewijs gegeven dat Kaspersky's antivirus misbruikt is of valt te misbruiken door de Russische overheid. "Tot op heden gaat het alleen over het eerste niveau."

Oproep: ga praten

Verhoeven doet nu dan ook de oproep aan minister Grapperhaus om te gaan praten met Kaspersky. Na de zomer is er weer overleg over cybersecurity, geeft de D66-politicus aan, en dan wil hij dit aankaarten. Het is de vraag of zijn oproep en pleidooi voor betere omgang met leveranciers wel gehoor vindt. De minister heeft in zijn brief aan de Tweede Kamer over de instandhouding van de Kaspersky-ban aangegeven dat geen reden is om af te wijken van zijn eerdere oordeel. Dat oordeel is dat "het gebruik van de antivirussoftware van Kaspersky mogelijke risico’s voor de nationale veiligheid heeft".

Formeel is Grapperhaus wel bereid tot eventuele herziening, als er verandering is in "de omstandigheden die het kabinet hebben doen besluiten bovenbedoelde voorzorgsmaatregel te nemen". Zo'n verandering moet klaarblijkelijk meer zijn dan de door Kaspersky gegeven repliek, met daarbij ook weerlegging door juridisch expert professor Kaj Hoben van Grapperhaus' claim dat de Russische overheid medewerking kan afdwingen.

Lees meer over Innovatie & Strategie OP AG Intelligence
2
Reacties
Wim De Raadt 18 juli 2019 14:28

Een Wob-verzoek (Wet openbaarheid bestuur) Zelf Grapperhaus dient aan dit verzoek te voldoen.Sterker nog ik roep de NPO op dit te doen en dan aan de hand van een samenstelling er een documantaire over te maken en uit te zenden op NL 1,2 of 3

Wim De Raadt 18 juli 2019 14:27

Een Wob-verzoek (Wet openbaarheid bestuur) Zelf Grapperhaus dioent aan dit verzoek te voldoen.Sterker nog ik roep de NPO op dit te doen en daan aan de hand van ene samensetelling er een documantaire over te maken en uit te zendne op NL 1,2 of 3

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.